Questa pagina descrive come configurare i criteri del server Cloud DNS e utilizzarli con le reti Virtual Private Cloud (VPC). Prima di utilizzare questa pagina, consulta la panoramica dei criteri dei server DNS.
Prima di iniziare
L'API Cloud DNS richiede la creazione di un progetto Google Cloud e l'abilitazione dell'API Cloud DNS.
Se crei un'applicazione che utilizza l'API REST, devi creare anche un ID client OAuth 2.0.
- Se non ne hai già uno, crea un Account Google.
- Abilita l'API Cloud DNS nella console Google Cloud. Puoi scegliere un progetto Compute Engine o App Engine esistente oppure crearne uno nuovo.
- Se devi inviare richieste all'API REST, devi creare un ID OAuth 2.0: Configurazione di OAuth 2.0.
- Nel progetto, prendi nota delle seguenti informazioni che dovrai inserire nei passaggi successivi:
-
L'ID client (
xxxxxx.apps.googleusercontent.com
). - L'ID progetto che vuoi utilizzare. Puoi trovare l'ID nella parte superiore della pagina Panoramica nella console Google Cloud. Puoi anche chiedere all'utente di fornire il nome del progetto che vuole utilizzare nella tua app.
-
L'ID client (
Se non hai mai eseguito Google Cloud CLI, devi eseguire il comando seguente per specificare il nome del progetto ed eseguire l'autenticazione con la console Google Cloud:
gcloud auth login
Per scegliere un progetto diverso da quello scelto in precedenza, specifica l'opzione --project
nella riga di comando.
Crea criteri del server DNS
Ogni oggetto dei criteri del server DNS può definire uno qualsiasi dei seguenti criteri del server:
- Un criterio del server in entrata, che consente l'inoltro in entrata
- Un criterio dei server in uscita che specifica uno o più server dei nomi alternativi
- I criteri per i server in entrata e in uscita
Ogni rete VPC può fare riferimento a non più di un criterio del server DNS. Se devi definire l'inoltro in entrata e in uscita per una rete VPC, crea un criterio che definisca sia un criterio in entrata sia uno in uscita.
Crea un criterio del server in entrata
Per creare un criterio del server in entrata, segui queste istruzioni. Cloud DNS crea un insieme di indirizzi IP del forwarding in entrata in ogni rete VPC a cui si applica il criterio. Dopo aver creato il criterio, puoi elencare i punti di ingresso creati da Cloud DNS.
gcloud
Per creare un criterio del server in entrata, esegui il comando dns policies
create
:
gcloud dns policies create NAME \ --description=DESCRIPTION \ --networks=VPC_NETWORK_LIST \ --enable-inbound-forwarding
Sostituisci quanto segue:
NAME
: un nome per il criterioDESCRIPTION
: una descrizione del criterioVPC_NETWORK_LIST
: un elenco delimitato da virgole di reti VPC in cui devono essere creati gli indirizzi di forwarding in entrata
Terraform
Crea un criterio per il server in uscita
Puoi creare un criterio del server in uscita per modificare l'ordine di risoluzione dei nomi di una rete VPC indirizzando tutte le query DNS a un server dei nomi alternativo. Per farlo, segui queste istruzioni. Prima di iniziare, assicurati di comprendere le differenze tra routing standard e privato e i requisiti di rete per i server dei nomi alternativi.
gcloud
Per creare un criterio del server in uscita, esegui il comando dns policies
create
:
gcloud dns policies create NAME \ --description=DESCRIPTION \ --networks=VPC_NETWORK_LIST \ --alternative-name-servers=ALTERNATIVE_NAMESERVER_LIST \ --private-alternative-name-servers=PRIVATE_ALTERNATIVE_NAMESERVER_LIST
Sostituisci quanto segue:
NAME
: un nome per il criterioDESCRIPTION
: una descrizione del criterioVPC_NETWORK_LIST
: un elenco delimitato da virgole di reti VPC che eseguono query sui server dei nomi alternativiALTERNATIVE_NAMESERVER_LIST
: un elenco delimitato da virgole di indirizzi IP che puoi utilizzare come server dei nomi alternativi; il routing privato viene utilizzato solo per i server dei nomi alternativi con indirizzi RFC 1918PRIVATE_ALTERNATIVE_NAMESERVER_LIST
: un elenco delimitato da virgole di indirizzi IP che puoi utilizzare come server dei nomi alternativi, a cui si accede mediante routing privato
Terraform
Crea un criterio del server per entrambi
gcloud
Per creare un criterio del server DNS per l'inoltro in entrata e in uscita, esegui il comando dns policies create
:
gcloud dns policies create NAME \ --description=DESCRIPTION \ --networks=VPC_NETWORK_LIST \ --alternative-name-servers=ALTERNATIVE_NAMESERVER_LIST \ --private-alternative-name-servers=PRIVATE_ALTERNATIVE_NAMESERVER_LIST \ --enable-inbound-forwarding
Sostituisci quanto segue:
NAME
: un nome per il criterioDESCRIPTION
: una descrizione del criterioVPC_NETWORK_LIST
: un elenco delimitato da virgole di reti VPC in cui devono essere creati indirizzi di forwarding in entrata e che devono eseguire query sui server dei nomi alternativiALTERNATIVE_NAMESERVER_LIST
: un elenco delimitato da virgole di indirizzi IP che puoi utilizzare come server dei nomi alternativi. Il routing privato viene utilizzato solo per i server dei nomi alternativi con indirizzi RFC 1918.PRIVATE_ALTERNATIVE_NAMESERVER_LIST
: un elenco delimitato da virgole di indirizzi IP che puoi utilizzare come server dei nomi alternativi, accessibile mediante routing privato.
Terraform
Elenca punti di contatto dello forwarding in entrata
Quando un criterio del server in entrata si applica a una rete VPC, Cloud DNS crea un insieme di indirizzi IP interni a livello di regione che fungono da destinazioni a cui i sistemi on-premise o i resolver dei nomi possono inviare richieste DNS. Questi indirizzi fungono da punti di ingresso per l'ordine di risoluzione dei nomi della rete VPC.
Le regole firewall di Google Cloud non si applicano agli indirizzi interni a livello di regione che fungono da punti di ingresso per i forwarding in entrata. Cloud DNS accetta automaticamente il traffico TCP e UDP sulla porta 53
.
Ogni mittente in entrata accetta e riceve query dai tunnel Cloud VPN o dai collegamenti Cloud Interconnect (VLAN) nella stessa regione dell'indirizzo IP interno a livello di regione. Le istanze VM possono accedere allo forwarding in entrata tramite uno qualsiasi degli indirizzi IP interni nella stessa rete VPC. Per accedere all'inoltro in entrata, l'interfaccia di rete deve avere un indirizzo IP esterno oppure una subnet del NIC deve avere l'accesso privato Google abilitato.
gcloud
Per elencare l'insieme di indirizzi IP interni a livello di regione che fungono da punti di ingresso per l'inoltro in entrata, esegui il comando compute addresses
list
:
gcloud compute addresses list \ --filter='purpose = "DNS_RESOLVER"' \ --format='csv(address, region, subnetwork)'
Aggiorna i criteri DNS
Le seguenti sezioni forniscono informazioni sulla modifica delle reti VPC e sull'attivazione o disattivazione dell'inoltro in entrata.
Modifica reti VPC
L'elenco seguente descrive cosa succede quando modifichi l'elenco di reti VPC a cui viene applicato un criterio DNS:
- Se il criterio specifica un criterio in entrata, i punti di ingresso per i forwarding in entrata vengono creati nelle reti VPC in base alle esigenze.
Se il criterio specifica un criterio in uscita, l'ordine di risoluzione dei nomi di ogni rete VPC viene aggiornato in modo da indirizzare tutte le richieste a un server dei nomi alternativo.
gcloud
Per modificare l'elenco delle reti a cui si applica un criterio del server DNS, esegui il comando dns policies update
:
gcloud dns policies update NAME \ --networks=VPC_NETWORK_LIST
Sostituisci quanto segue:
NAME
: un nome per il criterioVPC_NETWORK_LIST
: un elenco delimitato da virgole di reti VPC a cui si applica il criterio; l'elenco di reti VPC specificato sostituisce l'elenco precedente
Attivare o disattivare l'inoltro in entrata
Puoi abilitare l'inoltro in entrata per un criterio del server DNS che definisce solo un criterio in uscita (server dei nomi alternativo). Puoi anche disabilitare l'inoltro in entrata per un criterio DNS esistente.
gcloud
Per abilitare l'inoltro in entrata per un criterio del server DNS, esegui il comando dns policies
update
:
gcloud dns policies update NAME \ --enable-inbound-forwarding
Per disabilitare l'inoltro in entrata per un criterio del server DNS, esegui il comando dns policies
update
:
gcloud dns policies update NAME \ --no-enable-inbound-forwarding
Sostituisci NAME
con il nome del criterio.
Elenca criteri DNS
gcloud
Per elencare i criteri del server DNS nel tuo progetto, esegui il comando dns policies
list
:
gcloud dns policies list
Elimina un criterio DNS
gcloud
Per eliminare un criterio del server, esegui il comando dns policies
delete
:
gcloud dns policies delete NAME
Sostituisci NAME
con il nome del criterio da eliminare.
Requisiti di rete alternativi dei server dei nomi
Quando Cloud DNS invia richieste a server dei nomi alternativi, invia pacchetti con gli intervalli di origine elencati nella tabella seguente.
Tipo di server dei nomi alternativo | Intervalli di origine |
---|---|
Server dei nomi di tipo 1 Un indirizzo IP interno di una VM Google Cloud nella stessa rete VPC con il criterio in uscita. Server dei nomi Type 2 Un indirizzo IP di un sistema on-premise connesso alla rete VPC con il criterio in uscita, utilizzando Cloud VPN o Cloud Interconnect. Per saperne di più sugli indirizzi IP supportati, consulta la pagina relativa a server dei nomi e metodi di routing alternativi. |
Cloud DNS utilizza l'intervallo di origine |
Server dei nomi di tipo 3 Un indirizzo IP esterno di un server dei nomi DNS accessibile su internet o l'indirizzo IP esterno di una risorsa Google Cloud, ad esempio l'indirizzo IP esterno di una VM in un'altra rete VPC. |
Intervalli di origine di Google Public DNS |
Server dei nomi alternativi di tipo 1 e tipo 2
Cloud DNS richiede quanto segue per accedere a un server dei nomi alternativo di Tipo 1 o di Tipo 2. Questi requisiti sono gli stessi se il server dei nomi è un indirizzo IP RFC 1918 e se utilizzi il routing standard o se scegli il routing privato:
Configurazione firewall per
35.199.192.0/19
Per i server dei nomi di Tipo 1, crea una regola firewall di autorizzazione in entrata per la porta TCP e UDP
53
, applicabile ai server dei nomi alternativi in ogni rete VPC configurata per utilizzare un criterio in uscita che specifica il server dei nomi. Per i server dei nomi di Tipo 2, configura un firewall di rete on-premise e attrezzature simili per consentire la porta TCP e UDP53
.Routing al server dei nomi alternativo
Per i server dei nomi di Tipo 1, Cloud DNS utilizza una route subnet per accedere al server dei nomi nella rete VPC configurata per utilizzare un criterio in uscita che specifica il server dei nomi. Per i server dei nomi di Tipo 2, Cloud DNS utilizza route dinamiche o statiche personalizzate, ad eccezione delle route statiche taggate, per accedere al server dei nomi.
Torna la route a
35.199.192.0/19
attraverso la stessa rete VPCPer i server dei nomi di Tipo 1, Google Cloud aggiunge automaticamente una route di ritorno speciale per la destinazione
35.199.192.0/19
. Per i server dei nomi di tipo 2, la rete on-premise deve avere una route per la destinazione35.199.192.0/19
, il cui hop successivo si trova nella stessa rete VPC e nella stessa regione da cui ha avuto origine la richiesta, attraverso un tunnel Cloud VPN o un collegamento Cloud Interconnect (VLAN). Per informazioni su come soddisfare questo requisito, consulta le strategie di percorso di ritorno per i server dei nomi di Tipo 2.Risposta diretta da un server dei nomi alternativo
Cloud DNS richiede che il server dei nomi alternativo che riceve i pacchetti sia quello che invia le risposte a
35.199.192.0/19
. Se il tuo server dei nomi invia la richiesta a un server dei nomi diverso e quell'altro server dei nomi risponde a35.199.192.0/19
, Cloud DNS ignora la risposta. Per motivi di sicurezza, Google Cloud si aspetta che l'indirizzo di origine della risposta DNS di ogni server dei nomi alternativo corrisponda all'indirizzo IP del server dei nomi alternativo.
Strategie di percorso di ritorno per i server dei nomi di Tipo 2
Le risposte dei server dei nomi di tipo 2 non possono essere inviate tramite Internet, attraverso una rete VPC diversa o verso un'altra regione (anche nella stessa rete VPC). Le risposte devono tornare alla stessa regione e alla stessa rete VPC, ma possono utilizzare qualsiasi tunnel Cloud VPN o collegamento Cloud Interconnect (VLAN) nella stessa regione e nella stessa rete.
- Per i tunnel Cloud VPN che utilizzano il routing statico, crea manualmente una route nella rete on-premise la cui destinazione è
35.199.192.0/19
e il cui hop successivo è il tunnel Cloud VPN. Per i tunnel Cloud VPN che utilizzano il routing basato su criteri, configura il selettore di traffico locale di Cloud VPN e il selettore di traffico remoto del gateway VPN on-premise in modo che includano35.199.192.0/19
. - Per i tunnel Cloud VPN che utilizzano il routing dinamico o per Cloud Interconnect, configura un annuncio di route personalizzata per
35.199.192.0/19
nella sessione BGP del router Cloud che gestisce il tunnel o il collegamento VLAN.
Digita 3 server dei nomi alternativi
Quando Cloud DNS utilizza il routing standard per accedere a un indirizzo IP esterno, si aspetta che il server dei nomi alternativo sia un sistema su internet, accessibile pubblicamente oppure un indirizzo IP esterno di una risorsa Google Cloud.
Ad esempio, un server dei nomi alternativo di Tipo 3 include l'indirizzo IP esterno di una VM in una rete VPC diversa.
Il routing privato ai server dei nomi alternativi di Tipo 3 non è supportato.
Passaggi successivi
- Per trovare soluzioni ai problemi comuni che potresti riscontrare quando utilizzi Cloud DNS, consulta Risoluzione dei problemi.
- Per una panoramica di Cloud DNS, consulta la panoramica di Cloud DNS.